一种基于独立硬件模块审计及存储日志的系统及方法与流程

本发明属于日志审计存储领域，具体涉及一种基于独立硬件模块审计及存储日志的系统及方法。

背景技术：

在特定的行业，需要将用户对计算机的操作进行记录，由特定的管理员进行审查，传统的实现方式为在操作系统下安装审计软件，审计软件将日志存储在硬盘上，该方式可以满足大部分用户的需求，但是存在如下的风险：审计日志存储在硬盘中，更换硬盘、或者格式化硬盘都会造成审计日志的丢失，可通过此种方式删除审计数据；审计日志存储在硬盘中，存在使用第三方工具篡改日志的可能性。

此为现有技术的不足，因此，针对现有技术中的上述缺陷，提供一种基于独立硬件模块审计及存储日志的系统及方法，是非常有必要的。

技术实现要素：

本发明的目的在于，针对上述审计日志存储在硬盘中，更换硬盘、或者格式化硬盘都会造成审计日志的丢失以及存在使用第三方工具篡改日志危险的缺陷，提供一种基于独立硬件模块审计及存储日志的系统及方法，以解决上述技术问题。

为实现上述目的，本发明给出以下技术方案：

一种基于独立硬件模块审计及存储日志的系统，包括日志审计模块和日志存储模块，日志存储模块包括tcm可信单元和日志存储单元；

日志审计模块，用于对用户的计算机操作进行监控，将需要记录的关键操作作为审计日志请求存储到日志存储模块；

日志存储模块，用于验证请求进行日志存储的是否为日志审计模块，并在验证通过时，对审计日志进行加密并存储；

tcm可信单元，用于验证请求进行日志存储的是否为日志审计模块,以及对请求进行存储的审计日志进行加密；

日志存储单元，用于请求进行日志存储的为日志审计模块时，对加密后的审计日志进行存储；

所述日志存储模块采用独立硬件模块，通过存储扩展接口与日志审计模块连接。所述独立硬件模块为独立于硬盘的硬件模块。

进一步地，日志存储模块还包括总线接口单元和存储控制逻辑单元，总线接口单元与存储扩展接口和tcm可信单元连接，总线接口单元还与存储控制逻辑单元连接，存储控制逻辑单元还与日志存储单元和tcm可信单元连接；

总线接口单元，用于实现存储扩展接口与日志存储单元之间数据格式的转换；

存储控制逻辑单元，用于控制日志存储单元进行审计日志存储，当tcm可信单元验证请求进行日志存储的是为日志审计模块，且对审计日志进行加密后，允许日志存储单元进行加密后审计日志的存储。总线接口单元实现存储扩展接口如pcie接口与日志存储单元如存储器之间数据协议的转换，为保证存储数据格式的一致性。

进一步地，日志存模块还包括报警单元，报警单元与tcm可信单元连接；

tcm可信单元，还用于对日志审计模块进行检测，当检测不到日志审计模块时，通知报警单元发出警报；

报警单元，用于当tcm可信单元检测不到日志审计模块时，接收tcm可信单元的通知发出警报。报警单元是当tcm可信单元检测到操作系统未安装作为日志审计模块的审计软件时，进行报警，对用户进行提醒。

进一步地，所述报警单元采用蜂鸣器和指示灯。采用蜂鸣器和指示灯进行声光报警。

进一步地，tcm可信单元采用tcm芯片。tcm为trustedcryptographymodule简称，是采用中国研发的tcm（trustedcryptographymodule，可信密码模块）标准，是由国家密码管理局联合国内一些it企业推出的。

进一步地，日志审计模块采用审计软件。作为日志审计模块的审计软件对用户的计算机操作进行监控，同时经tcm可信单元进行认证，认证通过，才可以到日志存储单元存储审计日志。

进一步地，存储扩展接口采用pcie接口或者minipcie接口。通过在作为存储扩展接口的pcie接口的插槽上添加扩展卡，扩展卡带有作为tcm可信单元的tcm芯片和作为日志存储单元的存储器。在无法安装pcie接口扩展卡的计算机平台，可采用minipcie接口标准的小尺寸扩展卡。

进一步地，所述日志存储单元采用nandflash的半导体存储器。nandflash的半导体存储器日志容量大，使用时按照日志的数据量进行容量的选择，确保日志的存储时间满足要求，在规定的期限内不出现审计日志存储器容量不足的问题。

本发明还给出如下技术方案：

一种基于上述方案的独立硬件模块审计及存储日志的方法，包括如下步骤：

s1.日志审计模块对用户的计算机操作进行监控，将需要记录的关键操作作为审计日志，请求存储到日志存储模块；

s2.日志存储模块验证请求进行日志存储的是否为日志审计模块，并在验证通过时，对审计日志进行加密并存储。

进一步地，步骤s1之前还包括如下步骤：

s1`.日志存储模的tcm可信单元对日志审计模块进行检测，当检测不到日志审计模块时，通知报警单元发出警报。

本发明的有益效果在于：

本发明通过作为日志存储模块的独立硬件模块对作为日志审计模块的操作系统下运行的审计软件进行认证，仅在认证通过时允许审计软件访问作为日志存储单元的存储器，从而消除第三方工具可能篡改日志的隐患；同时，作为日志审计模块的审计软件在将日志写入日志存储模块之前还通过tcm可信单元提供的加密算法对日志内容进行加密，确保只有特定的管理员用户才可以进行审计日志的浏览。

此外，本发明设计原理可靠，结构简单，具有非常广泛的应用前景。

由此可见，本发明与现有技术相比，具有突出的实质性特点和显著的进步，其实施的有益效果也是显而易见的。

附图说明

图1为本发明的系统示意图；

其中，1-日志审计模块；2-日志存模块；2.1-tcm可信单元；2.2-日志存储单元；2.3-总线接口单元；2.4-存储控制逻辑单元；2.5-报警单元；3-存储扩展接口。

具体实施方式：

为使得本发明的目的、特征、优点能够更加的明显和易懂，下面将结合本发明具体实施例中的附图，对本发明中的技术方案进行清楚、完整地描述。

如图1所示，本发明提供一种基于独立硬件模块审计及存储日志的系统，包括日志审计模块1和日志存储模块2，日志存储模块2包括tcm可信单元2.1和日志存储单元2.2；

日志审计模块1，用于对用户的计算机操作进行监控，将需要记录的关键操作作为审计日志请求存储到日志存储模块2；

日志存储模块2，用于验证请求进行日志存储的是否为日志审计模块1，并在验证通过时，对审计日志进行加密并存储；

tcm可信单元2.1，用于验证请求进行日志存储的是否为日志审计模块1,以及对请求进行存储的审计日志进行加密；

日志存储单元2.2，用于请求进行日志存储的为日志审计模块1时，对加密后的审计日志进行存储；

所述日志存储模块2采用独立硬件模块，通过存储扩展接口3与日志审计模块1连接；

日志存储模块2还包括总线接口单元2.3、存储控制逻辑单元2.4和报警单元2.5，总线接口单元2.3与存储扩展接口3和tcm可信单元2.1连接，总线接口单元2.3还与存储控制逻辑单元2.4连接，存储控制逻辑单元2.4还与日志存储单元2.2和tcm可信单元2.1连接，报警单元2.5与tcm可信单元2.1连接；

tcm可信单元2.1，还用于对日志审计模块1进行检测，当检测不到日志审计模块1时，通知报警单元2.5发出警报；tcm可信单元2.1采用tcm芯片；

总线接口单元2.3，用于实现存储扩展接口3与日志存储单元2.2之间数据格式的转换；

存储控制逻辑单元2.4，用于控制日志存储单元2.2进行审计日志存储，当tcm可信单元2.1验证请求进行日志存储的是为日志审计模块1，且对审计日志进行加密后，允许日志存储单元2.2进行加密后审计日志的存储；

报警单元2.5，用于当tcm可信单元2.1检测不到日志审计模块1时，接收tcm可信单元2.1的通知发出警报；所述报警单元2.5采用蜂鸣器和指示灯。

上述实施例1中日志审计模块1采用审计软件，储扩展接口3采用pcie接口或者minipcie接口，所述日志存储单元2.2采用nandflash的半导体存储器。

实施例2：一种基于独立硬件模块审计及存储日志的方法，包括如下步骤：

s1`.日志存储模的tcm可信单元对日志审计模块进行检测，当检测不到日志审计模块时，通知报警单元发出警报；

s1.日志审计模块对用户的计算机操作进行监控，将需要记录的关键操作作为审计日志，请求存储到日志存储模块；

s2.日志存储模块验证请求进行日志存储的是否为日志审计模块，并在验证通过时，对审计日志进行加密并存储。

本发明通过作为日志存储模块的独立硬件模块，配合作为日志审计模块的操作系统下的审计软件实现审计日志存储功能，日志存储模块包括tcm可信单元和日志存储单元，作为日志审计模块的审计软件需要产生审计记录时，由tcm可信单元对作为日志审计模块的操作系统下运行的审计软件进行认证，仅在认证通过时允许审计软件访问作为日志存储单元的存储器，从而消除第三方工具可能篡改日志的隐患，审计记录的读取也要经过tcm可信单元的授权，只有特定的管理员用户才被允许读取审计日志；作为日志审计模块的运行在操作系统下的审计软件，负责对用户的计算机操作进行监控，将需要记录的关键操作存储到作为日志存储模块的扩展卡上的存储器中，审计软件在将日志写入独立硬件模块之前还通过tcm可信单元提供的加密算法对日志内容进行加密。

本发明可应用于服务器、台式机、笔记本以及平板电脑多种不同形态的计算机产品中，凡是应用本发明的技术方案对上述计算机产品进行的改造均在本专利的保护范围之内。

本发明的实施例是说明性的，而非限定性的，上述实施例只是帮助理解本发明，因此本发明不限于具体实施方式中所述的实施例，凡是由本领域技术人员根据本发明的技术方案得出的其他的具体实施方式，同样属于本发明保护的范围。